Jarosław KULER
← Wszystkie wpisy
Agent AISecurity

Agenci AI: nowe oblicze cyberzagrożeń.

Czego uczy nas przypadek McKinsey?

Wiele osób nadal myli agentów AI ze zwykłymi chatbotami, takimi jak ChatGPT czy Claude. Różnica jest zasadnicza: chatbot odpowiada na pytania użytkownika, natomiast agent AI może samodzielnie wykonywać działania, korzystać z narzędzi, łączyć się z systemami i podejmować kolejne kroki bez każdorazowej zgody człowieka.

To właśnie ta autonomia zmienia skalę ryzyka. Firmy coraz częściej dają agentom dostęp do wrażliwych zasobów: wewnętrznych baz danych, repozytoriów kodu, systemów finansowych, dokumentacji klientów czy firmowej komunikacji. Problem w tym, że wdrożenia często wyprzedzają procedury bezpieczeństwa. Według raportu IBM i AWS tylko 24% projektów opartych na generatywnej sztucznej inteligencji jest odpowiednio zabezpieczanych.

Incydent za 20 dolarów

Dobrym przykładem skali problemu jest przypadek opisany przez CodeWall w marcu 2026 roku. Badacze twierdzili, że autonomiczny agent AI w ciągu około dwóch godzin znalazł i wykorzystał podatność w platformie Lilli, wewnętrznym systemie AI McKinsey. Koszt obliczeniowy operacji miał wynieść około 20 dolarów.

Według relacji CodeWall agent zmapował publiczne API, znalazł 22 niezabezpieczone punkty dostępowe, a następnie wykrył podatność typu SQL Injection ukrytą w nietypowym miejscu — w nazwach kluczy JSON. To istotny szczegół, ponieważ tego rodzaju luka mogła zostać pominięta przez standardowe skanery bezpieczeństwa.

Skala potencjalnego dostępu była bardzo duża. Badacze informowali o możliwości odczytu dziesiątek milionów wiadomości z czatów, setek tysięcy plików oraz historii wyszukiwania użytkowników. Najpoważniejszy problem dotyczył jednak promptów systemowych. Według CodeWall atakujący mógł uzyskać możliwość modyfikacji wewnętrznych instrukcji, które wpływały na sposób działania systemu AI.

To pokazuje nowe ryzyko: w systemach agentowych nie chodzi wyłącznie o kradzież danych. Równie groźna może być cicha modyfikacja instrukcji, logiki odpowiedzi albo źródeł, na których opiera się model. W praktyce mogłoby to prowadzić do manipulowania analizami, rekomendacjami lub dokumentami tworzonymi przez pracowników.

Złośliwe rozszerzenia i problem OpenClaw

Ryzyko nie dotyczy wyłącznie dużych korporacji. Podobny problem widać w ekosystemie narzędzi open source, takich jak OpenClaw - agent AI integrujący się m.in. z komunikatorami, terminalem i lokalnym systemem użytkownika.

OpenClaw zyskał popularność dzięki rozszerzeniom, tzw. „skills”, które pozwalały szybko dodawać nowe funkcje. Ten model okazał się jednak podatny na nadużycia. Badacze bezpieczeństwa wykryli setki złośliwych rozszerzeń podszywających się pod legalne pakiety. Część z nich instalowała infostealery, trojany lub narzędzia umożliwiające przejęcie danych z przeglądarek, portfeli kryptowalutowych i systemu operacyjnego.

Problem był poważny także dlatego, że wiele instancji OpenClaw było wystawionych do internetu z niewystarczającym uwierzytelnianiem lub podatnymi konfiguracjami. W przypadku agenta AI taki błąd ma większe konsekwencje niż w zwykłej aplikacji, bo agent często ma dostęp do plików, komunikacji, kont użytkownika i lokalnych poleceń systemowych.

Shadow AI i indirect prompt injection

Wiele firm deklaruje, że nie korzysta z agentów AI, ale praktyka bywa inna. Pracownicy często używają prywatnych, niezatwierdzonych narzędzi AI do codziennych zadań: streszczania dokumentów, analizy kodu, pisania wiadomości czy pracy z danymi. To zjawisko określa się jako Shadow AI.

Ryzyko polega na tym, że firma traci kontrolę nad tym, gdzie trafiają dane. Do zewnętrznych narzędzi mogą być wklejane fragmenty kodu, dane klientów, wewnętrzne dokumenty albo informacje objęte tajemnicą przedsiębiorstwa. Według IBM organizacje z wysokim poziomem Shadow AI ponosiły średnio o 670 tysięcy dolarów wyższe koszty naruszeń danych niż organizacje z niskim poziomem tego zjawiska.

Osobnym problemem jest indirect prompt injection, czyli pośrednie wstrzykiwanie poleceń. Atakujący ukrywa złośliwą instrukcję w dokumencie, wiadomości e-mail, stronie internetowej lub pliku, który później czyta agent AI. Jeżeli agent ma dostęp do poczty, plików lub systemów firmowych, może potraktować taką instrukcję jak polecenie i wykonać działanie, którego użytkownik nigdy świadomie nie zatwierdził.

OWASP uznał Prompt Injection za najważniejsze ryzyko w zestawieniu Top 10 dla aplikacji opartych na dużych modelach językowych w 2025 roku. To nie jest problem teoretyczny — wynika bezpośrednio z tego, że modele językowe mają trudność z jednoznacznym oddzieleniem treści dokumentu od instrukcji sterującej.

Jak ograniczyć ryzyko? 5 praktycznych kroków

  1. Zrób inwentaryzację narzędzi AI Firma musi wiedzieć, z jakich narzędzi korzystają pracownicy — zarówno oficjalnie, jak i poza zatwierdzonym obiegiem.
  2. Stosuj zasadę minimalnych uprawnień Agent AI powinien mieć tylko taki dostęp, jaki jest niezbędny do wykonania konkretnego zadania. Jeżeli ma jedynie czytać dane, nie powinien mieć prawa ich modyfikować ani wysyłać na zewnątrz.
  3. Wprowadź nadzór człowieka nad działaniami wysokiego ryzyka Operacje takie jak wysyłanie danych poza organizację, wykonywanie przelewów, modyfikacja dokumentów źródłowych czy zmiana konfiguracji systemów powinny wymagać zatwierdzenia przez człowieka.
  4. Traktuj agentów AI jak niezaufany kod Agent powinien być testowany pod kątem uprawnień, źródeł danych, komunikacji sieciowej i odporności na prompt injection. Sam fakt, że narzędzie korzysta z AI, nie zwalnia go z normalnych wymagań bezpieczeństwa.
  5. Zamiast samych zakazów wprowadź jasną politykę AI Zakazy często prowadzą do rozwoju Shadow AI. Skuteczniejszym rozwiązaniem jest udostępnienie pracownikom bezpiecznych, zatwierdzonych narzędzi oraz prostych zasad: jakie dane wolno przetwarzać, gdzie wolno ich używać i jakie działania wymagają zgody.

Podsumowanie

Agenci AI przestali być eksperymentem. Coraz częściej stają się elementem codziennej pracy, a wraz z tym rozszerzają powierzchnię ataku firmowych systemów. Przypadki takie jak opisany incydent z platformą Lilli czy problemy wokół OpenClaw pokazują, że największym zagrożeniem nie jest sama sztuczna inteligencja, lecz połączenie autonomii, szerokich uprawnień i braku kontroli.

Organizacje, które wdrażają agentów AI bez zasad bezpieczeństwa, tworzą nową klasę ryzyka. Te, które potraktują agentów jak pełnoprawne komponenty infrastruktury IT — z audytem, kontrolą dostępu, monitoringiem i jasną odpowiedzialnością — będą miały znacznie większą szansę korzystać z tej technologii bez niepotrzebnego narażania danych, systemów i reputacji.